SUOMEN SAADOSKOKOELMA 

Julkaistu Helsingissa 10 paivana joulukuuta 2018 


1050/2018 

Tietosuojalaki 

Eduskunnan paatoksen mukaisesti saadetaan: 

1 luku 

YIeiset saannokset 

1 § 

Lain tarkoitus 

Talla lailla tasmennetaan ja taydennetaan luonnollisten he nk ildiden suojelusta he nk ild- 
tietojen kasittelyssa seka naiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY 
kumoamisesta annettiia Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (ylei- 
nen tietosuoja-asetus), jaljempana tietosuoja-asetus, ja sen kansallista soveltamista. 

2 § 

Soveltamisala 

Tata lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tata 
lakia ja tietosuoja-asetusta sovelletaan lisaksi, lukuun ottamatta asetuksen 56 artiklaa ja 
VII lukua, sellaiseen henkilotietojen kasittelyyn, jota suoritetaan mainitun 2 artiklan 
2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessa, jollei muualla laissa toisin 
saadeta. 

Tata lakia ei sovelleta eduskunnan valtiopaivatoimintaan. 

Tata lakia ei sovelleta sellaiseen henkildtietojen kasittelyyn, josta saadetaan he nk ildtie- 
tojen kasittelysta rikosasioissa ja kansallisen turvallisuuden yllapitamisen yhteydessa an- 
netussa laissa (1054/2018). 


3§ 

Sovellettava laki 

Elenkilotietojen kasittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevaan rekis- 
terinpitajan tai henkildtietojen kasittelijan toimipaikkaan liittyvan toiminnan yhteydessa, 
sovelletaan Suomen lakia, jos rekisterinpitajan toimipaikka sijaitsee Suomessa. 

Jos henkildtietojen kasittelyyn sovelletaan vieraan valtion lakia ja sen nojalla poiketaan 
tietosuoja-asetuksen 89 artiklan 2 kohdan mukaisesti rekisterdidyn suojaksi saadetyista 
oikeuksista, jaljempana 31 §:ssa rekisterdidyn suojaksi saadettyja suojatoimia on kuiten- 
kin noudatettava lainvalinnasta riippumatta. 


HE 9/2018 
HaVM 13/2018 
EV 108/2018 
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2 luku 


Kasittelyn oikeusperuste eraissa tapauksissa 


4§ 


Kasittelyn lainmukaisuus 


Henkilotietoja saa kasitella tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mu- 
kaisesti, jos: 

1) kysymys on henkildn asemaa, tehtavia seka niiden hoitoa julkisyhteisdssa, elinkei- 
noelamassa, jarjestotoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista 
silta osin kuin kasittelyn tavoite on yleisen edun mukainen ja kasittely on oikeasuhtaista 
silla tavoiteltuun oikeutettuun paamaaraan nahden; 

2) kasittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukai- 
sen tehtavan suorittamiseksi; 

3) kasittely on tarpeen tieteellista tai historiallista tutkimusta taikka tilastointia varten 
ja se on oikeasuhtaista silla tavoiteltuun yleisen edun mukaiseen tavoitteeseen nahden; tai 

4) henkilotietoja sisaltavien tutkimusaineistojen, kulttuuriperintoaineistojen seka nai- 
den kuvailutietoihin liittyvien henkilotietojen kasittely arkistointitarkoituksessa on tar¬ 
peen ja oikeasuhtaista silla tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekiste- 
rdidyn oikeuksiin nahden. 


5§ 


Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikdraja 


Kun henkilotietoja kasitellaan tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa 
tarkoitetun suostumuksen perusteella ja kyseessa on tietosuoja-asetuksen 4 artiklan 
25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lap- 
sen henkilotietojen kasittely on lainmukaista, jos lapsi on vahintaan 13-vuotias. 


6 § 


Erityisid henkildtietoryhmid koskeva kdsittely 


Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta: 

1) vakuutuslaitoksen kasitellessa vakuutustoiminnassa saatuja tietoja vakuutetun ja 
korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta tai kk a sellaista ha- 
neen kohdistetuista hoitotoimenpiteista tai niihin verrattavista toimista, jotka ovat tarpeen 
vakuutuslaitoksen vastuun selvittamiseksi; 

2) tietojen kasittelyyn, josta saadetaan laissa taijokajohtuu valittomasti rekisterinpita- 
jalle laissa saadetysta tehtavasta; 

3) ammattiliittoon kuulumista koskevaan tiedon kasittelyyn, joka on tarpeen rekiste- 
rinpitajan erityisten oikeuksien ja velvoitteiden noudattamiseksi tyooikeuden alalia; 

4) kun terveydenhuollon palveluntarjoaja jarjestaessaan tai tuottaessaan palveluja ka- 
sittelee tassa toiminnassa saamiaan tietoja henkildn terveydentilasta tai vammaisuudesta 
taikka hanen saamastaan terveydenhuollon j a kuntoutuksen palvelusta taikka muita rekis- 
terdidyn hoidon kannalta valttamattdmia tietoja; 

5) kun sosiaalihuollon palveluntarjoaja jarjestaessaan tai tuottaessaan palveluja tai 
mydntaessaan etuuksia kasittelee tassa toiminnassa saamiaan tai tuottamiaan tietoja hen¬ 
kildn terveydentilasta tai vammaisuudesta taikka hanen saamastaan terveydenhuollon j a 
kuntoutuksen palvelusta taikka muita rekisterdidyn palvelun tai etuuden mydntamisen 
kannalta valttamattdmia tietoja; 
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6) terveytta koskevien ja geneettisten tietojen kasittelyyn antidopingtyossa ja vam- 
maisurheilun yhteydessa silta osin kuin naiden tietojen kasittely on valttamatdnta antido- 
pingtydn tai vammaisten ja pitkaaikaissairaiden urheilun mahdollistamiseksi; 

7) tieteellista tai historiallista tutkimusta taikka tilastointia varten tehtavaan tietojen 
kasittelyyn; 

8) tutkimus- ja kulttuuriperintoaineistojen kasittelyyn yleishyodyllisessa arkistointitar- 
koituksessa geneettisia tietoja lukuun ottamatta. 

Kasiteltaessa henkildtietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitajan ja 
henkilotietojen kasittelijan on toteutettava asianmukaiset ja erityiset toimenpiteet rekiste- 
rdidyn oikeuksien suojaamiseksi. Naita toimenpiteita ovat: 

1) toimenpiteet,joilla onjalkeenpain mahdollista varmistaaja todentaa kenen toimesta 
henkildtietoja on tallennettu, muutettu tai siirretty; 

2) toimenpiteet, joilla parannetaan henkildtietoja kasittelevan henkildstdn osaamista; 

3) tietosuojavastaavan nimittaminen; 

4) rekisterinpitajan ja kasittelijan sisaiset toimenpiteet, joilla estetaan paasy henkildtie- 
toihin; 

5) henkildtietojen pseudonymisointi; 

6) henkildtietojen salaaminen; 

7) toimenpiteet, joilla kasittelyjarjestelmien ja henkildtietojen kasittelyyn liittyvien 
palveluidenjatkuva luottamuksellisuus, eheys, kaytettavyys ja vikasietoisuus taataan, mu- 
kaan lukien kyky palauttaa nopeasti tietojen saatavuus ja paasy tietoihin fyysisen tai tek- 
nisen vian sattuessa; 

8) menettely, jolla testataan, tutkitaan ja arvioidaan saanndllisesti teknisten ja organi- 
satoristen toimenpiteiden tehokkuutta tietojenkasittelyn turvallisuuden varmistamiseksi; 

9) erityiset menettelysaanndt, joilla varmistetaan tietosuoja-asetuksen ja taman lain 
noudattaminen siirrettaessa henkildtietoja tai kasiteltaessa henkildtietoja muuhun tarkoi- 
tukseen; 

10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvi- 
oinnin laatiminen; 

11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet. 

7§ 

Rikostuomioihin ja rikkomuksiin liittyvd kasittely 

Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai 
niihin liittyviin turvaamistoimiin liittyvia henkildtietoja saa kasitella, jos: 

1) kasittely on tarpeen oikeusvaateen selvittamiseksi, laatimiseksi, esittamiseksi, puo- 
lustamiseksi tai ratkaisemiseksi; tai 

2) tietoja kasitellaan 6 §:n 1 momentin 1, 2 tai 7 kohdassa saadetyssa tarkoituksessa. 

Mita 6 §:n 2 momentissa saadetaan toimenpiteista rekisterdidyn oikeuksien suojaamisek¬ 
si, sovelletaan myds kasiteltaessa taman pykalan 1 momentissa tarkoitettuja henkildtietoja. 

3 luku 

V alvontaviranomainen 

8§ 

Tietosuojavaltuutettu 

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusminis- 
teridn yhteydessa on tietosuojavaltuutettu. 

Tietosuojavaltuutettu on toiminnassaan itsenainen ja riippumaton. 
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9§ 


Tietosuojavaltuutetun toimisto 


Tietosuojavaltuutetulla on toimisto, jossa on vahintaan kaksi apulaistietosuojavaltuu- 
tettua seka tarpeellinen maara tietosuojavaltuutetun tehtavaalaan perehtyneita esittelijoita 
ja muuta henkilostoa. 

Tietosuojavaltuutettu nimittaa toimiston virkamiehet ja ottaa palvelukseen toimiston 
muun henkiloston. 

Tietosuojavaltuutettu hyvaksyy toimiston tyojarjestyksen. 


10 § 

Kelpoisuusvaatimukset ja nimitysperusteet 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kelpoisuusvaatimuksena on muu 
oikeustieteen ylempi korkeakoulututkinto kuin kansainvalisen ja vertailevan oikeustieteen 
maisterin tutkinto, hyva perehtyneisyys henkilotietojen suojaa koskeviin asioihin seka 
kaytannossa osoitettu johtamistaito. Lisaksi edellytetaan kykya hoitaa kansainvalisia teh- 
tavia. 


11 § 


Nimittdminen ja toimikausi 


Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittaa valtioneuvosto viideksi 
vuodeksi kerrallaan. 

Tietosuojavaltuutetuksi ja apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta 
muuta virkaa siksi ajaksi, jona han toimii tietosuojavaltuutettuna tai apulaistietosuojaval- 
tuutettuna. 


12 § 


Asiantuntijalautakunta 


Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjoh- 
taja, varapuheenjohtaja ja kolme muuta jasenta. Kullakin heista on henkildkohtainen va- 
rajasen. 

Valtioneuvosto asettaa lautakunnan kolmen vuoden toimikaudeksi. 

Lautakunnan puheenjohtajan ja varapuheenjohtajan on oltava oikeustieteen muun 
ylemman korkeakoulututkinnon kuin kansainvalisen j a vertailevan oikeustieteen maiste¬ 
rin tutkinnon suorittanut henkilo, jolla on hyva perehtyneisyys henkilotietojen suojaa kos¬ 
keviin asioihin ja muu tehtavan hoidon edellyttama patevyys. Lautakunnan muulta jase- 
nelta edellytetaan perehtyneisyytta henkilotietojen suojaa koskeviin asioihin j a tehtavan 
hoidon edellyttamaa muuta patevyytta. 

Lautakunnan jaseneen sovelletaan rikosoikeudellista virkavastuuta koskevia saanndk- 
sia hanen hoitaessaan tassa laissa tarkoitettuja tehtavia. Vahingonkorvausvastuusta saade- 
taan vahingonkorvauslaissa (412/1974). Lautakunnan jasenilleja varajasenille maksetaan 
tehtavastaan palkkio. Oikeusministerio vahvistaa palkkioiden maarat. 


13 § 

Selvitys sidonnaisuuksista 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamies- 
lain (750/1994) 8 a §:ssa tarkoitettu selvitys sidonnaisuuksistaan. 
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14 § 

Tietosuojavaltuutetun tehtdvdt ja toimivaltuudet 

Tietosuojavaltuutetun tehtavista ja toimivaltuuksista saadetaan tietosuoja-asetuk- 
sen 55-59 artiklassa. Tietosuojavaltuutetulla on myos muita tassa tai muussa laissa saa- 
dettyja tehtavia ja toimivaltuuksia. 

Tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eika eduskunnan oike- 
usasiamiehen toimintaa. 

Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa. 

Tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun serti- 
fiointielimen. 

Tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toi- 
mintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus 
on pidettava yleisesti saatavilla. 


15 § 

Tietosuojavaltuutetun pddtdksenteko 

Tietosuojavaltuutettu ratkaisee asiat esittelysta, jollei han yksittaistapauksessa toisin 
paata. 


16 § 

Apulaistietosuojavaltuutetun tehtdvdt ja toimivaltuudet 

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun valisesta tehtavien jaosta maara- 
taan tietosuojavaltuutetun toimiston tydjarjestyksessa. 

Apulaistietosuojavaltuutetulla on tehtaviensa hoidossa samat toimivaltuudet kuin tieto- 
suoj avaltuutetulla. 


17 § 

Asiantuntijalautakunnan tehtdvdt ja asioiden kdsittely 

Asiantuntijalautakunnan tehtavana on tietosuojavaltuutetun pyynndsta antaa lausuntoja 
henkilotietojen kasittelya koskevan lainsaadanndn soveltamiseen liittyvista merkittavista 
kysymyksista. 

Lautakunta voi kuulla ulkopuolisia asiantuntijoita. 

Lautakunnan sihteerina toimii tietosuojavaltuutetun toimiston esittelija. 

18 § 

Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus 

Sen lisaksi, mita tietosuoja-asetuksen 58 artiklan 1 kohdassa saadetaan valvontaviran- 
omaisen tiedonsaanti-ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapi- 
tosaanndsten estamatta saada maksutta tehtaviensa hoidon kannalta tarpeelliset tiedot. 

Pysyvaisluonteiseen asumiseen kaytetyssa tilassa tarkastuksen saa toimittaa vain, jos se 
on valttamatdnta tarkastuksen kohteena olevien seikkojen selvittamiseksi ja kyseessa ole- 
vassa tapauksessa on olemassa perusteltu ja yksiloity syy epailla henkilotietojen kasittelya 
koskevia saanndksia rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnol- 
linen seuraamusmaksu tai rikoslaissa (39/1889) saadetty rangaistus. 
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19 § 

Asiantuntijoiden kdytto 

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita seka pyytaa nailta lausun- 
toja. 

Tietosuojavaltuutettu voi kayttaa toimivaltaansa kuuluvan tarkastuksen suorittamisessa 
apunaan ulkopuolisia asiantuntijoita. Asiantuntijaan sovelletaan rikosoikeudellista virka- 
vastuuta koskevia saannoksia hanen suorittaessaan tallaisia tehtavia. Vahingonkorvaus- 
vastuusta saadetaan vahingonkorvauslaissa. 

20 § 

Virka-apu 

Tietosuojavaltuutetulla on oikeus tehtaviensa suorittamiseksi saada pyynnosta poliisitta 
virka-apua. 


4 luku 


Oikeusturva ja seuraamukset 


21 § 

Oikeus saattaa asia tietosuojavaltuutetun kdsiteltdvdksi 

Rekisterdidylla on oikeus saattaa asia tietosuojavaltuutetun kasiteltavaksi, jos rekiste- 
rdity katsoo, etta hanta koskevien henkildtietojen kasittelyssa rikotaan sita koskevaa lain- 
saadantda. 

Tietosuojavaltuutettu voi keskeyttaa asian kasittelyn, jos siihen liittyva asia on vireilla 
tuomioistuimessa. 


22 § 

Uhkasakko 

Tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan c-g ja j ala- 
kohdassatarkoitetunpaatdksenjatamanlain 18 §:n 1 momenttiinperustuvantietojenluo- 
vuttamista koskevan maarayksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuo- 
mitsemisesta maksettavaksi saadetaan uhkasakkolaissa (1113/1990). 

Uhkasakkoa ei saa asettaa luonnolliselle henkildlle 1 momentissa tarkoitetun tietojen 
luovuttamista koskevan maarayksen tehosteeksi silloin, kun henkilda on aihetta epailla ri- 
koksesta ja tiedot koskevat rikosepailyn kohteena olevaa asiaa. 

23 § 

Komission pddtdkset 

Jos tietosuojavaltuutettu katsoo silla vireilla olevassa asiassa tarpeelliseksi selvittaa, 
onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission paatos tietosuojan 
tason riittavyydesta tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksel- 
la saattaa ennakkoratkaisun pyytamista koskevan asian Helsingin hallinto-oikeuden rat- 
kaistavaksi. 

Hallinto-oikeuden paatdkseen saa hakea muutosta valittamalla vain, jos korkein hallin- 
to-oikeus mydntaa valitusluvan. 
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24 § 

Hallinnollinen seuraamusmaksu 

Tietosuoja-asetuksen 83 artiklassa saadetyn hallinnollisen sakon {hallinnollinen seu¬ 
raamusmaksu) maaraa tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessa 
muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. 
Apulaistietosuojavaltuutetun ollessa estynyt voi hanen sijaisenaan seuraamuskollegiossa 
toimia tietosuojavaltuutetun toimiston tydjarjestyksessa maaratty esittelija. Kollegio on 
paatosvaltainen kolmijasenisena. 

Kollegion paatos tehdaan esittelysta. Paatdkseksi tulee se kanta, jota enemmisto on kan- 
nattanut. Aanten mennessa tasan paatdkseksi tulee se kanta, joka on lievempi sille, johon 
seuraamus kohdistuu. 

Seuraamusmaksu voidaan maarata myds tietosuoja-asetuksen 10 artiklan rikkomisesta 
noudattaen, mita tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tassa laissa saadetaan. 

Seuraamusmaksua ei voida maarata valtion viranomaisille, valtion liikelaitoksille, kun- 
nallisille viranomaisille, itsenaisille julkisoikeudellisille laitoksille, eduskunnan virastoil- 
le, tasavallan presidentin kanslialle eika Suomen evankelis-luterilaiselle kirkolle ja Suo- 
men ortodoksiselle kirkolle eika niiden seurakunnille, seurakuntayhtymille ja muille eli- 
mille. 

Seuraamusmaksua ei saa maarata, jos on kulunut yli kymmenen vuotta siita, kun rikko- 
mus tai laiminlydnti on tapahtunut. Jos rikkomus tai laiminlydnti on ollut luonteeltaan jat- 
kuvaa, kymmenen vuoden maaraaika lasketaan siita, kun rikkomus tai laiminlydnti on 
paattynyt. 

Seuraamusmaksun taytantddnpanosta saadetaan sakon taytantddnpanosta annetussa 
laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua sen maaraamispai- 
vasta. 


25 § 

Muutoksenhaku 

Tietosuojavaltuutetunjaapulaistietosuojavaltuutetunpaatdkseenseka24 §:n 1 momen- 
tissa saadettyyn paatdkseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin 
hallintolainkayttdlaissa (586/1996) saadetaan. 

Hallinto-oikeuden paatdkseen saa hakea muutosta valittamalla vain, jos korkein hallin- 
to-oikeus mydntaa valitusluvan. Myds tietosuojavaltuutettu saa hakea muutosta hallinto- 
oikeuden paatdkseen. 

Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun paatdksessa voidaan maarata, 
etta paatdsta on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toi- 
sin maaraa. 


26 § 

Rangaistussddnndkset 

Rangaistus tietosuojarikoksesta saadetaan rikoslain 38 luvun 9 §:ssa. Rangaistus vies- 
tintasalaisuuden loukkauksesta ja tdrkeasta viestintasalaisuuden loukkauksesta saadetaan 
rikoslain 38 luvun 3 ja 4 §:ssa seka rangaistus tietomurrosta ja tdrkeasta tietomurrosta 38 
luvun 8 ja 8 a §:ssa. Rangaistus taman lain 35 §:ssa saadetyn vaitiolovelvollisuuden ja 
36 §:ssa saadetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 
tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siita 
muualla laissa saadeta ankarampaa rangaistusta. 

Rikoslain 38 luvun 10 §:n 3 momentissa saadetaan syyttajan velvollisuudesta kuulla 
tietosuojavaltuutettua ennen taman pykalan 1 momentissa mainittuja rikoksia koskevan 
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syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tallaista asiaa ka- 
sitellessaan tietosuojavaltuutetulle tilaisuus tulla kuulluksi. 

5 luku 

Tietoj enkasittelyn erityistilanteet 

27 § 

Henkildtietojen kdsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun 

tarkoituksia varten 

Sananvapauden ja tiedonvalityksen vapauden turvaamiseksi henkildtietojen kasitte- 
lyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjalli¬ 
sen ilmaisun tarkoituksia varten ei sovelleta tietosuoja-asetuksen 5 artiklan 1 kohdan c-e 
alakohtaa, 6 ja 7 artiklaa, 9 ja 10 artiklaa, 11 artiklan 2 kohtaa, 12-22 artiklaa, 30 ar- 
tiklaa, 34 artiklan 1-3 kohtaa, 35 ja 36 artiklaa, 56 artiklaa, 58 artiklan 2 kohdan f alakoh¬ 
taa, 60-63 artiklaa ja 65-67 artiklaa. 

Tietosuoja-asetuksen 27 artiklaa ei sovelleta sellaiseen henkildtietojen kasittelyyn, joka 
liittyy sananvapauden kayttamisesta joukkoviestinnassa annetussa laissa (460/2003) saa- 
dettyyn toimintaan. Tietosuoja-asetuksen 44-50 artiklaa ei sovelleta, jos soveltaminen 
loukkaisi oikeutta sananvapauteen tai tiedonvalityksen vapauteen. 

Sananvapauden ja tiedonvalityksen vapauden turvaamiseksi henkildtietojen kasittelyyn 
ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen il¬ 
maisun tarkoituksia varten sovelletaan tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b ala¬ 
kohtaa j a 2 kohtaa, 24-26 artiklaa, 31 artiklaa, 39 ja 40 artiklaa, 42 artiklaa, 57 ja 58 ar¬ 
tiklaa, 64 artiklaa ja 70 artiklaa ainoastaan soveltuvin osin. 

28 § 

Julkisuusperiaate 

Oikeuteen saada tieto ja muuhun henkildtietojen luovuttamiseen viranomaisen henkild- 
rekisterista sovelletaan, mita viranomaisten toiminnan julkisuudesta saadetaan. 

29 § 

Henkildtunnuksen kdsittely 

Henkildtunnusta saa kasitella rekisterdidyn suostumuksella tai, jos kasittelysta saade¬ 
taan laissa. Lisaksi henkildtunnusta saa kasitella, jos rekisterdidyn yksiselitteinen yksildi- 
minen on tarkeaa: 

1) laissa saadetyn tehtavan suorittamiseksi; 

2) rekisterdidyn tai rekisterinpitajan oikeuksien ja velvollisuuksien toteuttamiseksi; tai 

3) historiallista tai tieteellista tutkimusta taikka tilastointia varten. 

Henkildtunnusta saa kasitella luotonannossa tai saatavan perimisessa, vakuutus-, luot- 

tolaitos-, maksupalvelu-, vuokraus-ja lainaustoiminnassa, luottotietotoiminnassa, tervey- 
denhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, tyd-ja 
muita palvelussuhteita ja niihin liittyvia etuja koskevissa asioissa. 

Sen lisaksi, mita henkildtunnuksen kasittelysta 1 ja 2 momentissa saadetaan, henkild¬ 
tunnuksen saa luovuttaa osoitetietojen paivittamiseksi tai moninkertaisten postilahetysten 
valttamiseksi suoritettavaa tietojenkasittelya varten, jos henkildtunnus jo on luovutuksen- 
saajan kaytettavissa. 

Henkildtunnusta ei tule merkita tarpeettomasti henkildrekisterin perusteella tulostettui- 
hin tai laadittuihin asiakirjoihin. 
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30 § 

Henkildtietojen kdsittely tydsuhteen yhteydessd 

Tyontekijaa koskevien henkilotietojen kasittelysta, tyontekijalle tehtavista testeista ja 
tarkastuksista seka niita koskevista vaatimuksista, teknisesta valvonnasta tyopaikalla seka 
tyontekijan sahkopostiviestin hakemisesta ja avaamisesta saadetaan yksityisyyden suojas- 
ta tydelamassa annetussa laissa (759/2004). 

31 § 

Tieteellisid ja historiallisia tutkimustarkoituksia sekd tilastollisia tarkoituksia varten 
tapahtuvaa henkildtietojen kdsittelyd koskevat poikkeukset ja suojatoimet 

Kasiteltaessa henkildtietoja tieteellista tai historiallista tutkimustarkoitusta varten voi- 
daan tietosuoja-asetuksen 15, 16, 18ja21 artiklassa saadetyista rekisteroidyn oikeuksista 
tarvittaessa poiketa edellyttaen, etta: 

1) kasittely perustuu asianmukaiseen tutkimussuunnitelmaan; 

2) tutkimuksella on vastuuhenkild tai siita vastaava ryhma; ja 

3) henkildtietoja kaytetaan ja luovutetaan vain historiallista tai tieteellista tutkimusta 
taikka muuta yhteensopivaa tarkoitusta varten seka muutoinkin toimitaan niin, etta tiettya 
henkilda koskevat tiedot eivat paljastu ulkopuolisille. 

Kasiteltaessa henkildtietoja tilastollisia tarkoituksia varten voidaan tietosuoja-asetuk¬ 
sen 15, 16, 18 ja 21 artiklassa saadetyista rekisterdidyn oikeuksista tarvittaessa poiketa 
edellyttaen, etta: 

1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman 
henkildtietojen kasittelya; 

2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitajan toimintaan; ja 

3) tietoja ei luovuteta tai aseteta saataville siten, etta tietty henkild on niista tunnistet- 
tavissa, ellei tietoja luovuteta julkista tilastoa varten. 

Kasiteltaessa tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja 
henkildtietoja 1 tai 2 momentissa saadetyssa tarkoituksessa poikkeaminen tietosuoja-ase¬ 
tuksen 15, 16, 18ja21 artiklassa saadetyista rekisterdidyn oikeuksista edellyttaa sen lisak- 
si, mita 1 ja 2 momentissa saadetaan, etta laaditaan tietosuoja-asetuksen 35 artiklan mu- 
kainen tietosuojaa koskeva vaikutustenarviointi tai noudatetaan tietosuoja-asetuksen 
40 artiklan mukaisia kaytannesaantdja, joissa on otettu asianmukaisesti huomioon edella 
tarkoitettu rekisterdidyn oikeuksista poikkeaminen. Vaikutustenarviointi tulee toimittaa 
kirjallisesti tiedoksi tietosuojavaltuutetulle ennen kasittelyyn ryhtymista. 

32 § 

Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkildtietojen kdsittelyd 

koskevat poikkeukset ja suojatoimet 

Kasiteltaessa henkildtietoja yleisen edun mukaisia arkistointitarkoituksia varten 4 §:n 
4 kohdan tai tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla voidaan tieto¬ 
suoja-asetuksen 15, 16ja 18-21 artiklassa tarkoitetuista rekisterdidyn oikeuksista poiketa 
tietosuoja-asetuksen 89 artiklan 3 kohdassa saadetyin edellytyksin. 

33 § 

Rajoitukset rekisterinpitdjdn velvollisuuteen toimittaa tietoja rekisterdidylle 

Tietosuoja-asetuksen 13 ja 14 artiklan mukaisesta velvollisuudesta toimittaa tiedot re¬ 
kisterdidylle voidaan poiketa, j os se on valttamatdnta valtion turvallisuuden, puolustuksen 
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tai yleisen jarjestyksen ja turvallisuuden vuoksi, rikosten ehkaisemiseksi tai selvittamisek- 
si taikka verotukseen tai julkiseen talouteen liittyvan valvontatehtavan vuoksi. 

Tietosuoja-asetuksen 14 artiklan 1^ kohdasta voidaan poiketa myds, jos tiedon toimit- 
taminen aiheuttaa olennaista vahinkoa tai haittaa rekisterdidylle eika talletettavia tietoja 
kayteta rekisterditya koskevaan paatdksentekoon. 

Jos rekisterdidylle ei toimiteta 1 tai 2 momentin perusteella tietoa, rekisterinpitajan on 
toteutettava asianmukaiset toimenpiteet rekisterdidyn oikeuksien suojaamiseksi. Naihin 
toimenpiteisiin kuuluu tietosuoja-asetuksen 14 artiklan 1 ja 2 kohdassa tarkoitettujen tie- 
tojen pitaminen kaikkien saatavilla, ellei tama vaaranna tietojen toimittamista koskevan 
rajoituksen tarkoitusta. 


34 § 

Rajoitukset rekisterdidyn oikeuteen tutustua hdnestd kerdttyihin tietoihin 

Rekisterdidylla ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua 
hanesta kerattyihin tietoihin, jos: 

1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai 
yleista jarjestysta ja turvallisuutta taikka haitata rikosten ehkaisemista tai selvittamista; 

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisterdidyn terveydelle tai 
hoidolle taikka rekisterdidyn tai jonkun muun oikeuksille; tai 

3) henkildtietoja kaytetaan valvonta- ja tarkastustehtavissa ja tiedon antamatta jattami- 
nen on valttamatdnta Suomen tai Euroopan unionin tarkean taloudellisen tai rahoituksel- 
lisen edun turvaamiseksi. 

Jos vain osa rekisterditya koskevista tiedoista on sellaisia, etta ne 1 momentin mukaan 
jaavat tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisterdidyl¬ 
la on oikeus saada tietaa muut hanta koskevat tiedot. 

Rekisterdidylle on ilmoitettava rajoituksen syyt, ellei tama vaaranna rajoituksen tarkoi¬ 
tusta. 

Jos rekisterdidylla ei ole oikeutta tutustua hanesta kerattyihin tietoihin, tietosuoja-ase¬ 
tuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekis¬ 
terdidyn pyynndsta. 


6 luku 

Erinaiset saanndkset 

35 § 

Vaitiolovelvollisuus 

Joka henkildtietojen kasittelyyn liittyvia toimenpiteita suorittaessaan on saanut tietaa 
jotakin toisen henkildn ominaisuuksista, henkildkohtaisista oloista, taloudellisesta ase- 
masta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle nain saa- 
miaan tietoja eika kayttaa niita omaksi tai toisen hyddyksi tai toisen vahingoksi. 

36 § 

Ilmoittajan henkildllisyyden suojaaminen 

Kun luonnollinen henkild on tehnyt tietosuojavaltuutetulle ilmoituksen sen valvontaan 
kuuluvien saanndsten epaillysta rikkomisesta, ilmoittajan henkildllisyys on pidettava sa- 
lassa, jos henkildllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida ai- 
heutuvan haittaa ilmoittajalle. 
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37 § 

Voimaantulo 

Tama laki tulee voimaan 1 paivana tammikuuta 2019. 

Talla lailla kumotaan henkilotietolaki (523/1999) seka tietosuojalautakunnasta ja tieto- 
suojavaltuutetusta annettu laki (389/1994). 

38 § 

Siirtymdsddnndkset 

Tietosuojalautakunnan myontamien lupien voimassaolo paattyy taman lain tullessa 
voimaan. Tietosuojalautakunnassa ennen taman lain voimaantuloa vireille tulleet asiat 
raukeavat lain voimaan tullessa. 

Taman lain voimaan tullessa vireilla olevaan tietosuojavaltuutetulle tehtavaa ilmoitusta 
koskevaan asiaan sovelletaan henkilotietolain 36 ja 37 §:n saannoksia ilmoitusvelvolli- 
suudesta ja ilmoituksen tekemisesta. 

Taman lain voimaan tullessa vireilla olevassa tarkastusoikeuden toteuttamista ja henki- 
Idtietojen korjaamista koskevassa asiassa ei sovelleta sellaisia tietosuoja-asetuksen 12 ja 
15-18 artiklan saannoksia, joissa asetetaan rekisterinpitajalle laajempia velvollisuuksia 
kuin taman lain voimaan tullessa voimassa olleet saanndkset edellyttavat, jos mainittujen 
tietosuoja-asetuksen saanndsten soveltaminen olisi rekisterinpitajan kannalta kohtuutonta. 

Haettaessa muutosta ennen taman lain voimaantuloa tehtyyn tietosuojalautakunnan ja 
tietosuojavaltuutetun paatdkseen sovelletaan taman lain voimaan tullessa voimassa olleita 
saannoksia. Ylimaaraiseen muutoksenhakuun sovelletaan taman lain voimaan tullessa 
voimassa olleita saannoksia kuitenkin vain, jos se on pantu vireille ennen taman lain voi¬ 
maantuloa. 

Jos vahinkoa aiheuttanut teko on tehty ennen taman lain voimaantuloa, velvollisuuteen 
korvata vahinko sovelletaan taman lain voimaan tullessa voimassa olleita saannoksia. 

Helsingissa 5 paivana joulukuuta 2018 


Tasavallan Presidentti 
Sauli Niinisto 
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